異構數據庫安全技術在數字圖書館的應用

潘　登

[摘要]簡單介紹異構數據庫平臺知識，從數字圖書館數據庫異構的體系特征出發，論述主要的安全技術及其在數字圖書館的應用策略

[關鍵詞]異構數據庫 數據庫安全 數字圖書館 異構平臺檢索

中圖分類號：TP3文獻標識碼：A文章編號：1671－7597（2009）0520066－02

近幾年，圖書館通過引進和自建數據庫，已使電子資源的建設具有相當規模，電子文獻在文獻服務中所占的比重也不斷增加。在繼續加強電子資源建設的同時，圖書館開始更加關注電子資源的安全和管理工作，由于數字圖書館實際的應用環境比較復雜，不同的數據庫可能分布在不同的地理位置上，比如有些是國內的數字資源，有些是國外的全文期刊。他們使用著不同的數據組織形式和操作系統平臺，加上應用不同所造成的數據不一致性問題。因此，在普通的應用環境中很難將這些高度分布的數據集中起來充分利用。面對當前信息資源和網絡環境的復雜性，要實現異構數據庫的跨庫檢索，傳統的DBMS（數據庫管理系統）已經很難勝任。圖書館要整合的數據庫主要包括：書目數據庫（OPAC）、題錄／文摘數據庫、全文數據庫、電子期刊和電子圖書、相關的WEB網站等。這些數據庫分布在不同的服務器，成為各具不同特性的異構數據庫。異構數據庫系統平臺是整合已有的資源，將不同類型、不同結構、不同環境、不同用法的各種異構數據庫納入統一的檢索平臺，以便于用戶更方便，更高效地獲取

信息。

一、異構數據庫系統的異構特征

異構數據庫系統是相關的多個數據庫系統的集合，可以實現數據的共享和透明訪問。每個數據庫系統在加入異構數據庫系統之前就已經存在，擁有自己的DBMS。異構數據庫的各個組成部分具有自身的自治性，在實現數據共享的同時，每個數據庫系統仍保有自己的應用特性、完整性控制和安全性控制，異構數據庫系統的異構性主要體現在以下幾個方面：

1．計算機體系結構的異構：各個參與數據庫系統可以分別運行在大型機、小型機、工作站、PC或嵌入式系統中。

2．基礎操作系統的異構：各個數據庫系統的基礎操作系統可以是UNIX、WINDOWS Server、Linux等。

3．DMBS本身的異構：可以是同為關系型數據庫系統的Oracle、SQL Server等，也可以是不同數據類型的數據庫，如關系、模式、層次、網絡、面向對象、函數型數據庫共同組成一個異構數據庫系統。

二、圖書館異構數據庫的安全性問題

數據庫技術成為當今社會信息基礎設施的核心技術，相應地，作為系統正常運行的保證，數據庫的安全問題亦受到了廣泛的關注。尤其是隨著網絡技術、通訊技術的發展，數據的集中管理、多用戶存取及跨網絡的分布式結構，使得應用系統的開發環境的開放性等要求越來越高，數據庫的安全問題變得尤為突出。廣義的數據庫安全包括了安全保密性、完整性、可靠性、可用性、一致性等。安全保密性是防止非授權或不合法用戶的使用和訪問而造成數據泄漏、更改和破壞；完整性是指數據的正確性和相容性，防止合法用戶無意中造成的破壞，保證數據在存儲或傳輸過程中保持不被修改、破壞和丟失；可靠性是指對數據完整性的信賴程度；可用性是指需要時是否能存取所需數據；一致性是指數據在更新過程中數據更新的一致性。網絡環境下圖書館的自動化系統多為分布式的C/S和流行的B/S模式。數據庫的共享使多個用戶處于并發狀態，此時就要設法保證數據庫中數據的一致性和完整性。因為一致性是數據可用性的前提，而完整性則涉及到數據庫內容的正確性、有效性和一致性。圖書館的數據庫安全保護要從以上幾方面同時進行，以確保數據的正確、有效，使其免受無效更新的影響，這些無效更新包括數據的錯誤更改或輸入、用戶的誤操作及機器故障等，還包括非法程序或外部力量（如斷電、火災等）篡改或干擾數據，使得整個數據庫被破壞或單個數據項不可讀。

三、異構數據庫安全技術在數字圖書館的應用

異構數據庫的安全性包括：機密性、完整性和可用性。數據庫在三個層次上的異構，客戶機/服務器通過開放的網絡環境，跨不同硬件和軟件平臺通信，使數據庫安全問題在異構環境下變得更加復雜。而且異構環境的系統具有可擴展性，能管理分布或數據庫環境，每個結點服務器還能自治實行集中式安全管理和訪問控制，對自己創建的用戶、規則、客體進行安全管理。如由DBA或安全管理員執行本部門、本地區或整體的安全策略，授權特定的管理員管理各組應用程序、用戶、規則和數據庫，因此訪問控制和安全管理尤為重要。

異構環境的數據庫安全策略有：

（一）全局范圍的身份驗證策略

全局范圍的身份驗證策略是一種復雜的口令管理技術。包括數據庫中多個事務的口令同步；異構數據庫間的口令同步，如Oracle和Unix口令；用戶初始的口令更新；強制口令更新；口令可用性、口令的時間限制、口令的歷史管理、口令等級設置等。口令安全漏洞檢查和系統終止。包括檢查系統終止前登錄失敗的次數，系統終止前登錄成功與登錄失敗的時間間隔，跟蹤企圖登錄的站點地址。Web數據庫系統中包含大量敏感和機密的數據，必須對來訪的用戶進行身份認證。建立在現有網絡協議基礎上的一些網絡安全協議，如SSL和PCT等，這些協議既可用于保護機密信息，同時也用于防止其他非法用戶侵入自己的主機，給自己帶來安全威脅。對于ASP中繞過登錄頁面驗證直接進入某頁面的安全隱患，可利用Session對象和headers信息來認證用戶的身份。

（二）全局的訪問控制策略

全局的訪問控制策略是以支持各類局部訪問控制（包括自主和強制訪問控制）。訪問控制的主要功能是讓經過身份認證的合法用戶根據自己的權限來訪問系統，其嚴密性將直接影響整個系統的安全。通常一個系統用訪問控制表ACL（Access Control List）和權限表（Capacity List）來確定合法用戶及權限。決定哪些用戶指訪問哪些文件夾，有什么權限。Web數據庫交互中的許多安全威脅可以在這一環節得到解決，這要求含用戶名和密碼等機密信息的文件、腳本文件放在安全的位置，有些還需加密處理。

自主訪問與強制訪問控制：自主訪問控制就是對主體（用戶）訪問客體（數據庫對象）的操作權限實施控制，目的就是要保證用戶只能存取他有權存取的數據，當用戶擁有數據庫對象上的某些操作權限及相應的轉授權時，可以自由地把這些操作權限部分或全部轉授給其他用戶，從而使得其他用戶也獲得在這些數據庫對象上的使用權限。DM3系統根據用戶的權限執行自主訪問控制。規定用戶權限要考慮三個因素：用戶、數據對象和操作。所有的用戶權限都要記錄在系統表（數據字典）中，對用戶存取權限的定義稱為授權，當用戶提出操作請求時，DM3根據授權情況進行檢查，以決定是執行操作還是拒絕執行，從而保證用戶能夠存取他有權存取的數據。全局訪問控制（GAC）的安全結構分為三層：協調層、任務層和數據庫層，每層有特定的代理強制執行部分安全策略，協調層的任務由系統管理員代理完成，負責管理整個環境，分派權限給稱作任務代理的其他代理，任務代理通過分派訪問單個數裾庫的權限給數據庫代理，來控制對整個數據庫的訪問。比如，由系統管理員分派的完整性保證的任務由完整性管理員完成，數據庫功能（如獲得用戶信息）由用戶和數據代理完成。

所謂強制訪問控制是通過給主體（用戶）和客體（數據對象）指定安全級，并根據安全級匹配規則來確定某主體是否被允許訪問某客體。DM3系統根據用戶的操作請求、安全級和客體的安全級執行強制訪問控制，保證用戶只能訪問與其安全級相匹配的數據，強制訪問控制必須事先定義主體和客體的安全級，所有主體和客體的安全級都要記錄在系統中。當用戶提出操作請求時，DM3首先檢查用戶對所操作的數據對象是否具有相應的操作權限，然后檢查該用戶的操作請求及安全級與所操作的數據對象的安全級是否匹配，當兩個條件都滿足時，DM3才執行用戶的操作請求，否則拒絕執行。

（三）全局完整性控制策略

數據完整性認證，可以通過Hash函數對機密數據加密和數字簽名來實現。進行數字簽名時，可先用一個Hash函數對數據代碼進行雜湊處理，然后再用用戶的私鑰對雜湊結果進行簽名。當數據接收方驗證時，也是用同樣的Hash函數算出雜湊值，再對簽名進行解密，如果兩個結果一致，則說明數據沒有被更改過，數據是完整的，否則，就說明數據在傳輸的過程中被非法更改了。跨平臺檢索數據完整性{DATA INTEGRITY）由于一般分布數據庫系統中的數據，是重復地存放在不同的地點的（SIT

E）。當查詢處理子系統分析出查詢所需要的數據后，還需要確定將該數據的哪一部分復制文本供給該查詢使用，以及該文本位于哪一個地點。這是完整性子系統（INTEGRITY SUBSYSTYEM）的任務之一。它使用系統數據字典（SYSTEM DATA DICTIONARY）并計算相應的代價，來確定這個具體文本，以使得所花費的代價可以小一些（例如這個文本距離要取得查詢結果的地點最近）。同時，該子系統還負責維護數據庫的完整性和一致性，即處理并行操作的有關問題，以及保證在修改數據時各重復文本的一致性。

（四）網絡安全管理策略

包括網絡信息加密、網絡入侵防護和檢測等。對機密信息實施加密保護，對機密信息進行加密存儲和傳輸是傳統而有效的方法，這種方法對保護機密信息的安全特別有效，能夠防止搭線竊聽和黑客入侵，即使非法得到數據也無法解讀其中的內容。加密保護在目前基于Web服務的一些網絡安全協議中得到了廣泛的應用。在Web服務中的傳輸加密一般在應用層實現。WWW服務器在發送機密信息時，首先根據接收方的地址或其他標識，選取密鑰對信息進行加密運算；瀏覽器在接收到加密數據后，根據包中信息的源地址或其他標識對加密數據進行解密運算，從而得到所需的數據。在目前流行的服務器和瀏覽器中，如微軟公司的IIS服務器和瀏覽器，都可以對信息進行加解密運算，同時也留有接口，用戶可以對這些加解密算法進行重載，構造自己的加解密模塊。為有效地防止ASP源代碼泄露，可以對ASP頁面進行加密。一般有兩種方法對ASP頁面進行加密。一種是使用組件技術將編程邏輯封裝入DLL之中；另一種是使用微軟的Script Encoder對ASP頁面進行加密。

（五）審計技術策略

審計分為兩個級別，稱為低敏感級和高敏感級。處于低敏感級別時，系統只關心流過網關的域名或IP地址是否符合規則的要求，當一個新的IP包被捕獲以后，數據采集服務臺將這個IP包的詳細信息：包括源地址、源端口、目地址、目的端口，記錄到數據庫中，通過觸發器的設定，數據庫系統會自動啟動一個規則比對的過程，發現問題后及時處理。系統處于高敏感級別時，除了關心IP地址的合法性之外，還關心流過的數據包中的內容是否合法，是否含有敏感字句。由于數據采集服務采集到的是單個的IP包的序列，要得到數據包中內容，必須對TCP的會話過程進行再現，也就是說，必須將會話中涉及到的全部IP包進行重新組裝，并得到一個可以理解的TCP過程。TCP會話的還原過程由實時審計系統內部的模擬TCP／IP棧來實現。通過TCP／IP棧的模擬，并結合應用協議的分析，所有的TCP應用協議，如TELNET、HTT'P、FTP、SMTP，POP3、IMAP，以及基于UDP的ICQ、OICQ等等都可以在實時審計系統面前一覽無遺。最后，規則控制模塊對協議的會話內容進行檢查，完成實時審計過程。如果發現非法情況，通知數據庫服務記錄下給定時間段某個用戶的數據流，為日后的動作回放做準備，同時，以告警燈、告警聲音，告警級別（從顏色上反映）、以及告警分析等方式通知監控中心。

當前圖書館界對實現異構數據庫跨庫檢索的興趣日益增漲，國外有很多圖書館成立專門的項目小組對目前的相關技術和產品進行考察，我國有的圖書館已經實現了異構數據庫的跨庫檢索。后PC時代的數字圖書館，隨著網絡環境的不斷發展和完善，網絡安全環境日趨復雜，安全而完整的實用異構數據庫是數字圖書館自動化管理正常開展的保證，因此國內對異構數據庫安全技術策略應用方面的研發也越來越迫切。

參考文獻：

[1]趙曉玲，圖書館數據庫的安全保護，圖書館工作與研究，2004（1）.

[2]錢菁，網絡數據庫安全機制研究，計算機應用研究，2003（12）.

[3]吳剛等，異構網絡安全管理的設計，計算機工程，1999（10）.

[4]陳秀萍、郭朝暉，圖書館的網絡信息安全及對策，農業圖書情報學刊，2004（7）.